Autorizzazione per l' AWS utilizzo di applicazioni e servizi AWS Directory Service - AWS Directory Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione per l' AWS utilizzo di applicazioni e servizi AWS Directory Service

Questo argomento descrive l'autorizzazione per AWS applicazioni e servizi che utilizzano AWS Directory Service e AWS Directory Service Data

Autorizzazione di un' AWS applicazione su Active Directory

AWS Directory Service concede autorizzazioni specifiche per applicazioni selezionate per integrarsi perfettamente con Active Directory quando si autorizza un'applicazione. AWS AWS alle applicazioni viene concesso solo l'accesso necessario per i loro casi d'uso specifici. Di seguito è riportato un insieme di autorizzazioni interne concesse alle applicazioni e agli amministratori delle applicazioni dopo l'autorizzazione:

Nota

L'ds:AuthorizationApplicationautorizzazione è necessaria per autorizzare una nuova AWS applicazione per Active Directory. Le autorizzazioni per questa azione devono essere fornite solo agli amministratori che configurano le integrazioni con Directory Service.

  • Accesso in lettura ai dati di utenti, gruppi, unità organizzative, computer o autorità di certificazione di Active Directory in tutte le unità organizzative (OU) delle directory AWS Managed Microsoft AD, Simple AD, AD Connector, nonché nei domini affidabili per Managed AWS Microsoft AD, se consentito da una relazione di trust.

  • Scrivi l'accesso a utenti, gruppi, membri di gruppi, computer o dati dell'autorità di certificazione nell'unità organizzativa di AWS Managed Microsoft AD. Accesso in scrittura a tutte le unità organizzative di Simple AD.

  • Autenticazione e gestione delle sessioni degli utenti di Active Directory per tutti i tipi di directory.

Alcune applicazioni AWS Managed Microsoft AD come Amazon RDS e Amazon si FSx integrano tramite una connessione di rete diretta al tuo Active Directory. In questo caso, le interazioni con le directory utilizzano protocolli nativi di Active Directory come LDAP Kerberos. Le autorizzazioni di queste AWS applicazioni sono controllate da un account utente di directory creato nell'unità organizzativa AWS riservata (OU) durante l'autorizzazione dell'applicazione, che include la DNS gestione e l'accesso completo a un'unità organizzativa personalizzata creata per l'applicazione. Per utilizzare questo account, l'applicazione richiede le autorizzazioni per ds:GetAuthorizedApplicationDetails agire tramite le credenziali del chiamante o un ruolo. IAM

Per ulteriori informazioni sulle AWS Directory Service API autorizzazioni, vedere. AWS Directory Service APIautorizzazioni: riferimento alle azioni, alle risorse e alle condizioni

Per ulteriori informazioni sull'abilitazione di AWS applicazioni e servizi per AWS Managed Microsoft AD, vedereAccesso ad AWS applicazioni e servizi dal tuo AWS Managed Microsoft AD. Per ulteriori informazioni sull'attivazione di AWS applicazioni e servizi per Simple AD, vedereAccesso ad AWS applicazioni e servizi dal tuo Simple AD. Per informazioni sull'abilitazione di AWS applicazioni e servizi per AD Connector, consultaAccesso ad AWS applicazioni e servizi da AD Connector.

Rimuovere l'autorizzazione di un' AWS applicazione su Active Directory

L'ds:UnauthorizedApplicationautorizzazione è necessaria per rimuovere le autorizzazioni affinché un' AWS applicazione acceda a un Active Directory. Segui la procedura fornita dall'applicazione per disabilitarla.

AWS autorizzazione dell'applicazione con Directory Service Data

Per le directory AWS Managed Microsoft AD, i Directory Service Data (ds-data) API forniscono l'accesso programmatico alle attività di gestione di utenti e gruppi. Il modello di autorizzazione delle AWS applicazioni è separato dai controlli di accesso di Directory Service Data, il che significa che le politiche di accesso per le azioni Directory Service Data non influiscono sull'autorizzazione per AWS le applicazioni. Negare l'accesso a una directory in ds-data non interromperà l'integrazione delle applicazioni o i casi d' AWS uso delle applicazioni. AWS

Quando scrivi criteri di accesso per le directory AWS gestite di Microsoft AD che autorizzano AWS le applicazioni, tieni presente che le funzionalità di utenti e gruppi potrebbero essere disponibili chiamando un' AWS applicazione autorizzata o i dati del servizio di directory. API Amazon WorkDocs, Amazon WorkMail WorkSpaces, Amazon e Amazon QuickSight Chime forniscono tutte azioni di gestione di utenti e gruppi all'interno delle proprie. APIs Controlla l'accesso alle funzionalità di questa AWS applicazione con IAM policy.

Esempi

I seguenti frammenti mostrano i modi errati e corretti per negare DeleteUser la funzionalità quando AWS le applicazioni, come Amazon e WorkDocs Amazon WorkMail, sono autorizzate nella directory.

Errato

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser" ], "Resource": "*" } ] }

Corretto

{ "Version": "2012-10-17", "Statement": [{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": [ "ds-data:DeleteUser", "workmail:DeleteUser", "workdocs:DeleteUser" ], "Resource": "*" } ] }